我过去使用npm package express-jwt进行简单的JWT签名,解码等。通常(和according to the docs)它拦截请求,用用户对象有效负载解码令牌将req.user设置为该有效负载。但是,这次它显示req.user看起来像这样:
{ '$__':
{ strictMode: true,
getters: {},
wasPopulated: false,
activePaths: { paths: [Object], states: [Object], stateNames: [Object] },
emitter: { domain: null, _events: {}, _maxListeners: 0 } },
isNew: false,
_doc:
{ __v: 0,
password: '$2a$10$ypbCbWsEA7W17IQjdox5Oe..MhhCco/0yIw.J1Y6m6vJDllCB0LLS',
username: 'b',
lastname: 'Last',
firstname: 'First',
_id: '56969210e3f8bf2ab9aee66d' },
_pres: { '$__original_save': [ null, null, null ] },
_posts: { '$__original_save': [] },
iat: 1452709101
}
而不仅仅是:
{
__v: 0,
password: '$2a$10$ypbCbWsEA7W17IQjdox5Oe..MhhCco/0yIw.J1Y6m6vJDllCB0LLS',
username: 'b',
lastname: 'Last',
firstname: 'First',
_id: '56969210e3f8bf2ab9aee66d'
}
我试图弄清楚为什么这一次我需要指定req.user._doc来获取有关用户的具体信息。我在每个来源都比较了我的代码,它与过去的项目几乎完全相同,我只是并排测试它们 - 一个项目将req.user设置为用户对象,另一个项目设置req.user到上面显示的对象,用户对象只能在_doc属性中找到。
我检查了两个项目中mongoose .findOne()方法实际返回的内容, 是两个项目中上面显示的较大对象,但是express-jwt似乎正在淘汰额外的东西自动在一个项目中,但不在另一个项目中。
我还注意到JWT包含了我不想要的所有附加信息,比使用正确req.user对象的项目中的JWT要长得多。所以也许这意味着当JWT与有效载荷签约时会发生一些奇怪的事情......
以下是需要req.user._doc的相关代码:
...
var expressJwt = require('express-jwt');
var authRoutes = require('./routes/authRoutes');
var nationRoutes = require('./routes/nationRoutes');
...
app.use('/api', expressJwt({ secret: config.secret }));
app.use('/api/nation', nationRoutes);
app.use('/auth', authRoutes);
...
...
authRouter.post('/login', function (req, res) {
User.findOne({ username: req.body.username }, function (err, user) {
if (err) res.status(500).send(err);
if (!user) res.status(401).send('The username you entered does not exist');
else if (user) {
bcrypt.compare(req.body.password, user.password, function (err, match) {
if (err) throw (err);
if (!match) res.status(401).send("Incorrect Password");
else {
var token = jwt.sign(user, config.secret);
res.send({
user: user,
token: token
});
}
});
}
});
});
...
到目前为止,express-jwt已经解码了令牌并且(据说)设置了令牌的有效载荷(它应该只是用户的信息,而不是附加的$__,对req.user的所有东西,但是我必须按照下面的代码所示req.user._doc才能使其发挥作用。
...
nationRouter.route('/')
.get(function (req, res) {
console.log(req.user); // Shows the larger object with added stuff from above
Nation.find({ user: req.user._doc._id }, function (err, nations) {
if (err) {
res.status(500).send(err);
}
res.send(nations);
});
})
...
如果它有用,或者可能是问题的一部分,这里是用户模型和国家模型:
var mongoose = require('mongoose');
var Schema = mongoose.Schema;
var bcrypt = require("bcrypt");
var userSchema = new Schema({
firstname: {
type: String,
required: true
},
lastname: {
type: String,
required: true
},
username: {
type: String,
required: true,
unique: true,
lowercase: true
},
password: {
type: String,
required: true
},
email: String
});
userSchema.pre("save", function (next) {
var user = this;
if (!user.isModified("password")) {
next();
}
bcrypt.hash(user.password, 10, function (err, hash) {
if (err) return next(err);
user.password = hash;
next();
});
});
module.exports = mongoose.model('User', userSchema);
var mongoose = require('mongoose');
var Schema = mongoose.Schema;
var Nation = new Schema({
name: {
type: String,
required: true
},
creationDate: {
type: Date,
default: Date.now
},
user: {
type: Schema.Types.ObjectId,
ref: 'User'
}
});
module.exports = mongoose.model('Nation', Nation);
答案 0 :(得分:7)
我在我的代码中玩过jsonewebtoken包的过去版本号,问题随着版本5.5.1而消失。 (5.5.2似乎已经引入了这个问题)。我查看了jsonwebtoken的源代码,并在github问题页面(here和here)上与一些开发人员进行了几次对话。似乎他们在xtend方法中向有效负载引入了一个名为jwt.sign()的包,它似乎在编码之前将所有其他元属性添加到有效负载上。
我正在使用Mongoose,根据其中一位jsonwebtoken开发人员的说法,我需要开始使用Mongoose的Document.toObject()方法。所以从现在开始:
...
jwt.sign(user.toObject(), ...)
...
将是在Mongoose中执行此操作的方法。